HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups
 

Tagchen! Hoffe das mein erstes Posting nicht gleich gegen eine goldene Regel verstößt!

Ich dachte mir, dass ich mich ein bisschen mit Trojanern, Viren etc... beschäftige, tja und da bin ich auf trojaner-board.de gestoßen. Nun habe ich mir ein paar Tools runtergeladen und ein bisschen rumgespielt.
Zum Testen ob mein System befallen sein könnte habe ich Hijackthis drüber laufen lassen und dann die Exen in der Log-Datei auf Sysinfo.org und bleepingcomputer.com/startups/ überprüft. Die meisten Exen scheinen laut dieser Seiten schädliche Programme zu sein.
Daher dachte ich mir mal, dass ich ein Log poste und hoffe, dass mir jemand sagen kann ob die Progamme die ausgeführt werden schädlich sind und wie ich die Information von Sysinfo.org usw.. richtig interpretieren soll!!???

Vielen Dank im Voraus bei Rückfragen einfach melden!
Hunter85

Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:34:54, on 21.05.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
D:\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Tools\SysinternalsSuite0408\procexp.exe
D:\Tools\SysinternalsSuite0408\Tcpview.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O15 - ESC Trusted Zone: h**p://notifier.antivir-pe.de
O15 - ESC Trusted Zone: h**p://ftp-mozilla.netscape.com
O15 - ESC Trusted Zone: h**p://germany.real.com
O15 - ESC Trusted Zone: h**p://www.real.com
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203957080953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203957221856
O17 - HKLM\System\CCS\Services\Tcpip\..\{B17D798B-607C-4378-9CFC-8285CD05C0A5}: NameServer = 10.3.2.254,10.3.3.34
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - D:\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Hi,
das Log ist mE sauber.
Welche Dateien würdest du denn als schädlich einstufen und wieso?

lg myrtille

Also wenn ich auf Sysinfo.org oder bleepingcomputer.com/startups die ausführende Exe eintrage, wird einem angezeigt ob diese Exe schädlich ist. Folgenden Exen werden dort als schädlich aufgelistet:

smss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
spoolsv.exe
avguard.exe
vmnat.exe
vmnetdhcp.exe
Explorer.EXE
realsched.exe
jusched.exe
ctfmon.exe
firefox.exe

sind jetzt wirklich alle Exen schädlich? Kann ich mir nicht vorstellen! Woher weis ich dann ob eine Exe die ausgeführt wird schädlich ist, wie muss ich die Einträge auf den Seiten interpretieren?? Hoffe du weist jetzt was ich meine?

Grüße
Hunter85

Hi,
Da gibt es glaub ich ein wenig Klärungsbedarf. :D
(siehe dazu auch unsere Anleitung zu Hijackthis )


Das Hijackthislog teilt sich in 2 große Blöcke:
Die laufenden Prozesse:
und Informationen zu Startups etc:
Die in der startups-Liste vertretetenen Einträge von bleepingcomputer sind dabei die fettmarkierten.
Deine Liste enthält also eigentlich nur 3 Dateien die Startupitems entspricht:
Schauen wir uns also die 3 Einträge näher an.

• realsched.exe
  
  Zitat:

  O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

  Wenn du jetzt bei startups guckst, wirst du für realsched.exe schädliche und unnötige Einträge finden.
  Also gilt es zu identifizieren, welche Sorte von Eintrag das ist.
  Dabei hilft dir vor allem (der fettmarkierte) Name.
  ->Alle Einträge mit dem Namen TkBEllExe und dem Dateinamen realsched.exe werden als unnötig, also nicht als schädlich eingestellt. :)
  Die Datei ist der Updater vom Realplayer
• jusched.exe
  
  Zitat:

  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "

  Hier gilt dasselbe Name SunJavaUpdateSched & Dateiname jusched.exe werden als unnötig, aber nicht als schädlich eingestuft.
  Die Datei ist der Updater von Java
• ctfmon.exe
  
  Zitat:

  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

  Hier ist es schon schwerer: Es gibt 2 identische Einträge mit Namen ctfmon.exe & Dateinamen ctfmon.exe ein gutartiger und ein bösartiger.
  Wie unterscheidet man das jetzt?
  Als erstes kann man mal schauen in welchem Ordner die gutartige und die bösartige Datei liegen, normalerweise sind die nicht identisch. Wenn die Datei nicht im richtigen Ordner liegt ist eigentlich immer was faul. :D
  Hier liegen jedoch beide im selben Ordner (C:\windows\system32). Also kann man auch nicht am Ort festmachen ob der Eintrag gut oder böse ist.
  
  Wenn man also nicht auf herkömmliche Art&Weise den Eintrag identifizieren kann, muss man sich den Befall, der den Eintrag erstellt genauer anschauen: link
  
  Zitat:

  Adds the value: "ctfmon.exe" = "%System%\ctfmon.exe" to the registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run so that it's executed every time Windows starts:

  Es nutzt also nicht die schon vorhandenen Einträge der legitimen ctfmon.exe, sondern erstellt einen weiteren eigenen Eintrag in HKLM.
  Der ist in deinem Log aber nicht zu sehen, daher kann man auch hier davon ausgehen, dass der Eintrag gut ist.

Wenn du einzelne Dateien überprüfen willst, dann empfehle ich dir eher die filedatabase zu nutzen.

War das soweit verständlich?
lg myrtille

Wow so geht da also ein Spezi ran! :daumenhoc
Also wenn ich das richtig verstanden habe, dann erkennst du anhand der O1-023 Einträge ob diverse Ungereimtheiten sichtlich sind!!
Ich schaue nach ob im Eintrag:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "

[SunJavaUpdateSched] und jusched.exe in Verbindung stehen,

indem ich dies auf einer der Seiten z.B:
Pacmans-Startuplist
BC Startuplist
CLSID List
Reger24
oder auf HJT Dateisuche überprüfe!!!???!!!

Wie bist du jetzt aber bei ctfmon.exe vorgegangen, da ja mehrer Einträge vorhanden waren? Wie bist du auf den Link
gestoßen um zu erkennen, dass die ctfmon.exe in meinem Fall nicht schädlich ist???

Gruß
Hunter85

Genau.
Aber das heißt nicht, dass ich die laufende Prozesse außer acht lasse, es gibt auch Möglichkeiten Dateien so zu starten, dass sie von Hijackthis nicht zu sehen sind. Gelegentlich tauchen solche Dateien dann unter laufende Prozesse auf, daher sollte man den Teil unbedingt auch durchgehen. :)

Anfangs ist das Log analysieren noch kompliziert, weil man keinen Eintrag erkennt, mit ein wenig Übung sieht man aber meist bei 80-90% der Einträge, dass sie zu Windows oder zu bekannten Programmen gehören, da geht das dann sehr viel schneller.
Eigentlich ja, aber es hat sich 1 Fehler eingeschlichen:
CLSID List betrifft nicht die Startuplist. Die Startuplist bei Castlecops ist Startuplist

Die beiden letzten Links kannst du auch für die laufenden Prozesse nehmen, da sie Prozesse und nicht Startupitems listen. :)
So bin ich vorgegangen

1. ctfmon.exe bei bleepingcomputer eingegeben
2. Die gelisteten Dateinamen und Namen mit deinem Eintrag abgeglichen. ->Es blieben 2 übrig. gut und böse
3. Versuch anhand der bei Bleepingcomputer gelisteten Informationen die ctfmon zu identifizieren. Das ist aber gescheitert.
4. In der Info zum bösen Eintrag steht:
   
   Zitat:

   Description: Added by the PWSteal.Raidys password-stealing trojan horse.

   "pwssteal.raidys" ist ein Link. Also mal auf den Link geklickt. :D
5. Das ist der Link, den ich dir auch gegeben hab. :D In dem Link die ausführlicheren Infos gelesen und den zitierten Teil gefunden:
   
   Zitat:

   Adds the value: "ctfmon.exe" = "%System%\ctfmon.exe" to the registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run so that it's executed every time Windows starts:

6. Den Eintrag mit den bei dir vorhandenen Infos abgeglichen. Keine Übereinstimmung
7. Fertig. :)

lg myrtille

Alles klar! Dann bedanke ich mich bei dir für deine Hilfe, falls ich jetzt die nächste Zeit Probleme mit HiJackThis Logs habe, melde ich mich sicherlich wieder!

Danke

Gruß
Hunter85

PS: Gibt es evtl. ein Tutorial oder ähnliches, damit ein User den Einstieg in HiJackThis leichter und schneller findet? Wenn nicht wäre das doch eine Idee!
Du könntest da bestimmt was zusammenschreiben, um Leuten wie mir den Einstieg zu erleichtern und die Zusammenhänge zu erklären!

Hi,
eigentlich wird alles Relevante in Batas Hijackthisanleitung gesagt. :) Es werden die einzelnen Punkte erklärt und die großen Nachschlagseiten genannt, da kann man nicht viel mehr hinzufügen.
Ich wüsste gar nicht so genau, was man da noch hinzufügen müsste.

Zudem nutzen viele den (in der Anleitung verlinkten) Onlineauswerter: hijackthis, sodass ein händisches Auswerten nicht mehr viele Leute interessiert.
Wobei man hier auf Fehler achten muss! neue Helfer, die die Onlineauswertung nutzen, sind meist leicht an diesen Fehlern zu erkennen. :D

lg myrtille